Nume:TR/Vundo.IS
Descoperit pe data de:24/07/2008
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:93.184 Bytes
MD5:ac0B91f457566dfbdaeb0904946aa1c4
Versiune IVDF:7.00.05.160 - jeudi 24 juillet 2008

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Mcafee: Vundo trojan


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere
   • Modificari in registri
   • Posibilitatea accesului neautorizat la computer

 Fisiere Sunt create fisierele:

– Fisiere inofensive:
   • %directorul de activare malware%\%combinatie de caractere aleatoare%.tmp
   • %directorul de activare malware%\%combinatie de caractere aleatoare%.ini

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%valori hex%"="rundll32.exe \"%directorul de activare malware%\%dll malware%",b"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\%valori hex%]
   • @="%valori hex%"
   • "red_srv"="%resurse folosite de malware descarcate de pe internet%"
   • "red_srv_bckp"="%resurse folosite de malware descarcate de pe internet%"

– [HKLM\SOFTWARE\Microsoft\aoprndtws]
   • @="%CLSID generate%"

– [HKCU\Software\Microsoft\rdfa]
   • "F"=hex:30,00
   • "N"=hex:30,00

 Backdoor Servere contactate:

   • http://regters.**********

Astfel se pot transmite informatii si se poate obtine control la distanta.

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • explorer.exe


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Andreas Feuerstein le mercredi 30 juillet 2008
Description mise à jour par Andreas Feuerstein le mardi 16 décembre 2008

Retour . . . .